DirectoryService セクション - AWS ParallelCluster
DirectoryService のプロパティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DirectoryService セクション

注記

AWS ParallelCluster バージョン 3.1.1 で のサポートが追加されDirectoryServiceました。

(オプション) 複数のユーザーアクセスをサポートするクラスターのディレクトリサービス設定。

AWS ParallelCluster は、System Security Services Daemon (Word) でサポートされている Lightweight Directory Access Protocol (LDAP) を介した Active Directory (AD) を使用するクラスターへの複数のユーザーアクセスをサポートするアクセス許可を管理します。 SSSD詳細については、「AWS Directory Service 管理ガイド」の「AWS Directory Serviceとは」を参照してください。

Word over LDAP TLSSSL (略して LDAPS) を使用して、機密情報が暗号化されたチャネルを介して送信されるようにすることをお勧めします。

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DirectoryService のプロパティ

注記

インターネットにアクセスできない単一のサブネット AWS ParallelCluster で を使用する予定がある場合は、「」でその他の要件AWS ParallelCluster インターネットアクセスのない単一のサブネット内を確認してください。

DomainName (必須)String)

ID 情報に使用するアクティブディレクトリ (AD) ドメイン。

DomainName は、完全修飾ドメイン名 (FQDN) LDAP 形式と単語識別名 (DN) 形式の両方を受け入れます。

  • FQDNの例: corp.example.com

  • LDAP DN の例: DC=corp,DC=example,DC=com

このプロパティは、ldap_search_base で呼び出される sssd-ldap パラメータに対応します。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainAddr (必須)String)

URIs サーバーとして使用される AD ドメインコントローラーを指す Word URIまたは LDAP。URI は、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_uri。値は URIs のカンマ区切り文字列にすることができます。LDAP を使用するには、各URIの先頭ldap://に を追加する必要があります。

値の例:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

証明書の検証で LDAPS を使用する場合、その URIs はホスト名である必要があります。

証明書の検証または LDAPS なしで LDAP を使用する場合、URIs はホスト名または IP アドレスにすることができます。

LDAP over TLS/SSL (LDAPS) を使用すると、暗号化されていないチャネルでパスワードやその他の機密情報が送信されないようにできます。でプロトコル AWS ParallelCluster が見つからない場合は、各 URI またはホスト名の先頭ldaps://に が追加されます。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

PasswordSecretArn (必須)String)

プレーンテキストのパスワードを含む AWS Secrets Manager シークレットの Amazon DomainReadOnlyUser リソースネーム (ARN)。シークレットの内容は、 と呼ばれる SSSD-LDAP パラメータに対応していますldap_default_authtok

注記

AWS Secrets Manager コンソールを使用してシークレットを作成する場合は、「その他のタイプのシークレット」を選択し、プレーンテキストを選択し、パスワードテキストのみをシークレットに含めます。

AWS Secrets Manager を使用してシークレットを作成する方法の詳細については、「 シークAWS Secrets Manager レットの作成」を参照してください。

LDAP クライアントは、ID 情報をリクエストDomainReadOnlyUserするときに、パスワードを使用して AD ドメインを として認証します。

ユーザーに DescribeSecret のアクセス許可がある場合、PasswordSecretArn が検証されます。指定されたシークレットが存在する場合、PasswordSecretArn は有効です。ユーザー IAM ポリシーに が含まれていない場合DescribeSecretPasswordSecretArnは検証されず、警告メッセージが表示されます。詳細については、「AWS ParallelCluster pcluster 基本ユーザーポリシー」を参照してください。

シークレットの値が変更された場合、クラスターは自動的に更新されません。クラスターを新しいシークレット値に更新するには、pcluster update-compute-fleet コマンドを使用してコンピューティングフリートを停止し、ヘッドノード内から次のコマンドを実行します。

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainReadOnlyUser (必須)String)

クラスターユーザーのログインを認証するとき、AD ドメインに ID 情報をクエリするために使用される ID。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_default_bind_dn。この値には AD ID 情報を使用してください。

ノード上の特定の LDAP クライアントに必要な形式で ID を指定します。

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsCaCert (オプションString)

ドメインコントローラーの証明書を発行した証明書チェーンにある各認証機関の証明書を含む証明書バンドルへの絶対パス。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_cacert

証明書バンドルは、Windows では PEM Base64 形式とも呼ばれる DER 形式の個別の証明書の連結で構成されるファイルです。これは、LDAP サーバーとして機能する AD ドメインコントローラーの ID を検証するために使用されます。

AWS ParallelCluster は、ノードへの証明書の初期配置については責任を負いません。クラスター管理者として、クラスターの作成後にヘッドノードの証明書を手動で設定することも、ブートストラップスクリプトを使用することもできます。または、ヘッドノードで設定された証明書を含む Amazon マシンイメージ (AMI) を使用することもできます。

Simple AD は LDAPS をサポートしていません。Simple AD ディレクトリを と統合する方法については AWS ParallelCluster、 AWS セキュリティブログの「How to configure an LDAPS endpoint for Simple AD」を参照してください。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsReqCert (オプションString)

TLS セッションでサーバー証明書に対して実行するチェックを指定します。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_reqcert

有効な値: neverallowtrydemand、および hard

neverallow、および try は、証明書の問題が見つかった場合でも接続を続行できるようにします。

demand および hard は、証明書に問題がない場合でも通信を継続できるようにします。

クラスター管理者が証明書の検証の成功を必要としない値を使用した場合、警告メッセージが管理者に返されます。セキュリティ上の理由から、証明書の検証を無効にしないことをお勧めします。

デフォルト値は hard です。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapAccessFilter (オプションString)

ディレクトリアクセスを一部のユーザーに制限するフィルターを指定します。このプロパティは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_access_filter。これを使用して、多数のユーザーをサポートする AD へのクエリに制限できます。

このフィルターは、クラスターへのユーザーアクセスをブロックできます。ただし、ブロックされたユーザーの検出性には影響しません。

このプロパティが設定されている場合、SSSD パラメータaccess_providerは によってldap AWS ParallelCluster 内部的に に設定され、/ DirectoryService AdditionalSssdConfigs設定によって変更することはできません。

このプロパティを省略し、カスタマイズされたユーザーアクセスを DirectoryService/AdditionalSssdConfigs で指定していない場合、ディレクトリ内のすべてのユーザーがクラスターにアクセスできます。

例:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

GenerateSshKeysForUsers (オプションBoolean)

がヘッドノードでの最初の認証の直後にクラスターユーザーの SSH キー AWS ParallelCluster を生成するかどうかを定義します。

に設定するとtrue、SSH キーが生成されUSER_HOME_DIRECTORY/.ssh/id_rsa、ヘッドノードでの最初の認証後に、存在しない場合はすべてのユーザーに対して に保存されます。

ヘッドノードでまだ認証されていないユーザーの場合、次のような場合に初回認証が行われます。

  • ユーザーが自身のパスワードで初めてヘッドノードにログインします。

  • ヘッドノードで、sudoer が初めてそのユーザーに切り替えます。su USERNAME

  • ヘッドノードで、sudoer が初めてそのユーザーとしてコマンドを実行します。su -u USERNAME COMMAND

ユーザーは、クラスターヘッドノードとコンピューティングノードへの後続のログインに SSH キーを使用できます。では AWS ParallelCluster、クラスターコンピューティングノードへのパスワードログインは設計上無効になっています。ユーザーがヘッドノードにログインしていない場合、SSH キーは生成されず、ユーザーはコンピューティングノードにログインできません。

デフォルト: true

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

AdditionalSssdConfigs (オプションDict)

クラスターインスタンスの SSSD config ファイルに書き込む SSSD パラメータと値を含むキーと値のペアの dict。SSSD 設定ファイルの詳細については、 SSSDおよび関連する設定ファイルのインスタンス上の管理ページを参照してください。

SSSD のパラメータと値は、次のリストで説明されているように AWS ParallelCluster、 の SSSD 設定と互換性がある必要があります。

  • id_provider は によってldap内部的に に設定 AWS ParallelCluster されるため、変更しないでください。

  • access_provider / が指定され AWS ParallelCluster ている場合、 DirectoryService LdapAccessFilterは によってldap内部的に に設定されます。この設定は変更しないでください。

    DirectoryService/LdapAccessFilter を省略すると、その access_provider の指定も省略されます。例えば、AdditionalSssdConfigsaccess_providersimple に設定した場合、DirectoryService/LdapAccessFilter は指定しないでください。

次の設定スニペットは、AdditionalSssdConfigs の有効な設定の例です。

この例では、SSSD ログのデバッグレベルを有効にし、検索ベースを特定の組織単位に制限し、認証情報のキャッシュを無効にします。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

この例では、SSSD simple の設定を指定しますaccess_providerEngineeringTeam からのユーザーにはディレクトリへのアクセス許可が与えられます。この場合、DirectoryService/LdapAccessFilter は設定できません。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。